【51CTO.com 獨(dú)家特稿】入侵防御系統(tǒng)方案

入侵是指在非授權(quán)的情況下，試圖存取信息、處理信息或破壞系統(tǒng)以使系統(tǒng)不可靠，不可用的故意行為。

通常提到對(duì)入侵行為的防御，大家都會(huì)想到防火墻。防火墻作為企業(yè)級(jí)安全保障體系的第一道防線，已經(jīng)得到了非常廣泛的應(yīng)用，但是各式各樣的攻擊行為還是被不斷的發(fā)現(xiàn)和報(bào)道，這就意味著有一類攻擊行為是防火墻所不能防御的，比如說應(yīng)用層的攻擊行為。

想要實(shí)現(xiàn)完全的入侵防御，首先需要對(duì)各種攻擊能準(zhǔn)確發(fā)現(xiàn)，其次是對(duì)攻擊進(jìn)行實(shí)時(shí)的阻斷與響應(yīng)。防火墻等訪問控制設(shè)備沒有能做到完全的協(xié)議分析，僅能實(shí)現(xiàn)較為低層的入侵防御，對(duì)應(yīng)用層的攻擊以及其他非法行為無法進(jìn)行判斷，而入侵檢測(cè)等旁路設(shè)備由于部署方式的局限，在發(fā)現(xiàn)攻擊后無法及時(shí)切斷可疑連接，都達(dá)不到完全防御的要求。

想要實(shí)現(xiàn)完全的入侵防御，就需要將完全協(xié)議分析和在線防御相融合，這就是入侵防御系統(tǒng)（IPS）：online式在線部署，深層分析網(wǎng)絡(luò)實(shí)時(shí)數(shù)據(jù)，精確判斷隱含其中的攻擊行為，實(shí)施及時(shí)的阻斷。

基于趙明的需求，我們推薦趙明使用啟明星辰的天清IPS系統(tǒng)來解決問題。

趙明網(wǎng)站入侵防護(hù)系統(tǒng)IPS的部署

本次部署的網(wǎng)絡(luò)入侵防護(hù)系統(tǒng)位于Web主備服務(wù)器之前，Web服務(wù)器區(qū)的數(shù)據(jù)是最安全敏感的數(shù)據(jù)，安全級(jí)別最高，所以部署IPS首先考慮服務(wù)器區(qū)。

產(chǎn)品部署網(wǎng)絡(luò)拓?fù)鋱D如下：  

天清入侵防御部署圖

天清入侵防御功能分析

天清入侵防御系統(tǒng)（Intrusion Prevention System）是啟明星辰自行研制開發(fā)的入侵防御類網(wǎng)絡(luò)安全產(chǎn)品，圍繞深層防御、精確阻斷這個(gè)核心，通過對(duì)網(wǎng)絡(luò)中深層攻擊行為進(jìn)行準(zhǔn)確的分析判斷，在判定為攻擊行為后立即予以阻斷，主動(dòng)而有效的保護(hù)網(wǎng)絡(luò)的安全。

天清入侵防御系統(tǒng)（IPS）融入了啟明星辰公司在入侵攻擊識(shí)別方面的積累和研究成果，使其在精確阻斷方面達(dá)到國(guó)際領(lǐng)先水平，不僅可以對(duì)網(wǎng)絡(luò)蠕蟲、間諜軟件、溢出攻擊、數(shù)據(jù)庫攻擊等多種深層攻擊行為進(jìn)行主動(dòng)阻斷，而且能夠有效的防御像SQL注入、跨站腳本攻擊這些針對(duì)應(yīng)用業(yè)務(wù)的攻擊行為，彌補(bǔ)了其它安全產(chǎn)品深層防御效果的不足。   

◆WEB業(yè)務(wù)安全主動(dòng)檢測(cè)，全面、專業(yè)

天清入侵防御系統(tǒng)提供創(chuàng)新的主動(dòng)式WEB業(yè)務(wù)安全檢查，整合多種專業(yè)檢查工具的自動(dòng)化檢測(cè)平臺(tái)和專業(yè)安全服務(wù)團(tuán)隊(duì)，及時(shí)、全面的檢測(cè)和呈現(xiàn)網(wǎng)頁木馬和WEB漏洞，并提供補(bǔ)救措施。檢測(cè)過程無需客戶參與，網(wǎng)絡(luò)調(diào)整或者網(wǎng)絡(luò)割接，節(jié)約WEB業(yè)務(wù)安全運(yùn)維成本。 

◆WEB業(yè)務(wù)深層防御能力出眾

近年來應(yīng)用系統(tǒng)的WEB化程度的提高，針對(duì)WEB安全的威脅，如SQL注入、跨站腳本等攻擊行為也層出不窮。由于這類攻擊多依托于正常的開放協(xié)議，且變種多樣，使得普通的安全產(chǎn)品無法實(shí)現(xiàn)全面、準(zhǔn)確的防御。天清入侵防御系統(tǒng)采用專利技術(shù)算法，對(duì)SQL注入、跨腳本攻擊等針對(duì)WEB業(yè)務(wù)的攻擊行為有很好的判斷和防御能力，和傳統(tǒng)學(xué)術(shù)界以及產(chǎn)業(yè)界的技術(shù)相比，可以做到無誤報(bào)，無漏報(bào)。 

◆精確阻斷達(dá)到國(guó)際領(lǐng)先水平

天清入侵防御系統(tǒng)融合了基于攻擊躲避原理的阻斷方法與基于攻擊特征的阻斷方法，不但有效提高了對(duì)各種深層攻擊行為的識(shí)別能力，而且對(duì)攻擊變種、異形攻擊等無法通過特征判斷的攻擊行為也能實(shí)現(xiàn)精確阻斷。 

◆在線部署，高效可靠

天清入侵防御系統(tǒng)是以透明方式串行部署于網(wǎng)絡(luò)中, 通過虛擬引擎技術(shù)可以實(shí)現(xiàn)多策略防護(hù)。通過軟、硬件雙Bypass功能，即使在最惡劣的情況下，天清入侵防御系統(tǒng)也不會(huì)成為網(wǎng)絡(luò)的故障點(diǎn)。天清入侵防御系統(tǒng)通過合理分配資源、CPU與任務(wù)綁定等技術(shù)，大幅提升了系統(tǒng)的性能，其微秒級(jí)時(shí)延和千兆高吞吐量可滿足電信級(jí)業(yè)務(wù)的應(yīng)用。 

◆綜合管理，易用、易查

天清入侵防御系統(tǒng)同時(shí)支持遠(yuǎn)程登錄管理和集中拓?fù)涔芾砟Ｊ?，提供向?qū)降牟呗耘渲霉芾?，可根?jù)需求靈活調(diào)整保護(hù)策略，達(dá)到最佳防御效果，并提供對(duì)歷史記錄信息細(xì)致的查詢分析功能。  

◆支持在線更新，防御最新威脅

天清入侵防御系統(tǒng)可通過在線自動(dòng)升級(jí)，增加對(duì)最新威脅的防御能力。

天清入侵防御技術(shù)優(yōu)勢(shì)  

◆高效的數(shù)據(jù)處理性能

正如很多邊界防護(hù)設(shè)備一樣，串行的接入模式需要面對(duì)的一個(gè)主要問題是如何使設(shè)備不成為網(wǎng)絡(luò)傳輸?shù)钠款i。天清入侵防御系統(tǒng)采用了如下先進(jìn)技術(shù)確保其具有高效的傳輸性能:

POLL技術(shù)：在通常的系統(tǒng)中，數(shù)據(jù)處理都是采用中斷響應(yīng)機(jī)制來進(jìn)行的。采用中斷在數(shù)據(jù)包較少的情況下，是一個(gè)比較好的解決方案，但在數(shù)據(jù)量較大的情況下，尤其是在千兆級(jí)環(huán)境下，處理大量中斷所消耗的系統(tǒng)資源是相當(dāng)可觀的，我們?cè)谶@里采用了輪詢方式的POLL技術(shù)，CPU一直保持工作狀態(tài)，而并且等待喚醒狀態(tài)，以節(jié)約在大數(shù)據(jù)量情況下的CPU開銷。在對(duì)數(shù)據(jù)包的轉(zhuǎn)發(fā)中采用POLL技術(shù)，可以確保較低的傳輸時(shí)延。

驅(qū)動(dòng)的內(nèi)部無鎖技術(shù)：常見的數(shù)據(jù)結(jié)構(gòu)有這么三種：堆棧、隊(duì)列和樹。在不同的情況下，采用不同的數(shù)據(jù)結(jié)構(gòu)，我們對(duì)捕獲后的數(shù)據(jù)的存儲(chǔ)方式采用的是環(huán)狀隊(duì)列，也就是說，無需等待中斷，隨時(shí)都可以從存儲(chǔ)空間中實(shí)時(shí)獲得可進(jìn)行分析的數(shù)據(jù)。

自適應(yīng)的CPU負(fù)載均衡技術(shù)：我們將每一個(gè)實(shí)際的CPU都虛擬成了多個(gè)虛擬的CPU，分別用于處理不同的事務(wù)：分別處理中斷、檢測(cè)和通訊等。

以上這三項(xiàng)技術(shù)的協(xié)同應(yīng)用，使得天清入侵防御系統(tǒng)在數(shù)據(jù)包的處理性能方面有著出眾的表現(xiàn)。其微秒級(jí)的分析時(shí)延，完全可以適應(yīng)電信級(jí)用戶網(wǎng)絡(luò)環(huán)境需求。 

◆權(quán)威性的檢測(cè)特征庫

基于誤用的檢測(cè)方法要達(dá)到精確檢測(cè)其核心之一就是檢測(cè)特征（signature）提取的準(zhǔn)確性，構(gòu)造一個(gè)好的入侵防御系統(tǒng)，依賴于能否準(zhǔn)確地提取和描述檢測(cè)特征。特別是在串行環(huán)境下，明晰而精確的檢測(cè)特征將會(huì)是決定保護(hù)措施優(yōu)劣的重要砝碼。

天清入侵防御系統(tǒng)在提煉檢測(cè)特征的時(shí)候采用了如下兩種方式：

方式A：基于漏洞機(jī)理的分析方法。

利用漏洞機(jī)理的方法來提取和定義特征，可以實(shí)現(xiàn)檢測(cè)和具體攻擊工具的無關(guān)性，特別對(duì)于防止新型變種的攻擊和攻擊工具改造非常有效。

方式B：基于攻擊過程的分析方法。

攻擊過程分析法則是完全站在攻擊者的角度，破析完整的攻擊過程，可以判斷攻擊是處在攻擊嘗試階段還是已經(jīng)攻擊成功。

另外，天清入侵防御系統(tǒng)中對(duì)檢測(cè)特征的定義都是通過統(tǒng)一的標(biāo)準(zhǔn)化VT++語言來描述，VT++語言的使用，不但保證了特征的快速更新，還向用戶提供了便于自行定義檢測(cè)特征的接口，從而擴(kuò)充了檢測(cè)內(nèi)容和范圍。

天清入侵防御系統(tǒng)的檢測(cè)防御規(guī)則庫全面兼容CVE和CNCVE，對(duì)用戶而言，提供了更詳細(xì)了解網(wǎng)絡(luò)中發(fā)生行為的機(jī)會(huì)。 

◆準(zhǔn)確的攻擊檢測(cè)能力

天清入侵防御系統(tǒng)在對(duì)數(shù)據(jù)鏈路層到應(yīng)用層的網(wǎng)絡(luò)數(shù)據(jù)全面分析的基礎(chǔ)之上，融合漏洞分析信息，可以對(duì)上報(bào)的攻擊事件進(jìn)行事先的預(yù)分析，達(dá)到精確報(bào)警的目的。

此外，天清入侵防御系統(tǒng)采用了啟明星辰公司設(shè)計(jì)并實(shí)現(xiàn)的高效協(xié)議自識(shí)別方法——VFPR (Venus Fast Protocol Recognition)，該協(xié)議自識(shí)別方法基于協(xié)議指紋識(shí)別和協(xié)議規(guī)則驗(yàn)證技術(shù)實(shí)現(xiàn)，能夠在網(wǎng)絡(luò)協(xié)議通信初期根據(jù)前期網(wǎng)絡(luò)報(bào)文特征自動(dòng)識(shí)別所屬協(xié)議類型，并采用預(yù)先建立的協(xié)議驗(yàn)證規(guī)則進(jìn)一步驗(yàn)證協(xié)議識(shí)別結(jié)果正確性。 

◆靈活的安全策略管理

天清入侵防御系統(tǒng)采用基于策略的防護(hù)方式，內(nèi)置了多種默認(rèn)安全策略集，用戶可以根據(jù)需要選擇最適合自己需要的策略，以達(dá)到最佳防護(hù)效果。

除了默認(rèn)的安全策略集外，天清入侵防御系統(tǒng)還提供了向?qū)降牟呗怨芾矸绞?，在策略集間還可實(shí)現(xiàn)與、或、并、交等邏輯操作，便于用戶自定義選擇最佳安全策略。

典型部署

天清入侵防御系統(tǒng)提供了即插即用的部署方式，無須更改拓?fù)浣Y(jié)構(gòu)就可為網(wǎng)絡(luò)提供充分防護(hù)。  

◆單級(jí)部署模式：

將入侵防御系統(tǒng)部署在區(qū)域邊界，提供有針對(duì)性的重點(diǎn)防護(hù)。

◆多級(jí)部署模式：

跨地域部署入侵防御系統(tǒng)，通過互聯(lián)網(wǎng)實(shí)現(xiàn)遠(yuǎn)程分級(jí)防御、統(tǒng)一管理、集中上報(bào)。